Les individus qui trouvent un téléphone mobile auraient tendance à assouvir leur curiosité avant de tenter de retrouver son propriétaire, selon une étude de l’éditeur de logiciels antivirus Symantec.
En janvier, Symantec Canada a mis en place le projet Honey Stick 2014, une expérience qui consistait à perdre délibérément 60 téléphones intelligents non protégés par des mots de passe dans six villes canadiennes (Montréal, Toronto, Ottawa, Halifax, Calgary et Vancouver) pour évaluer les comportements des «trouveurs».
L’entreprise avait bien sûr pris soin de placer un ensemble de données personnelles et professionnelles sur ces appareils, incluant des comptes sociaux avec nom d’utilisateur et mot de passe intégrés. Tous les téléphones étaient aussi dotés d’une fonctionnalité permettant à Symantec de surveiller à distance l’activité sur les appareils volontairement égarés.
«L’objectif était, dans la période de temps la plus courte possible, de vraiment avoir une bonne perception des données concluantes du comportement des individus qui ont retrouvé les appareils. L’étude ne visait pas le cybercriminel qui tente de s’introduire dans un appareil en déjouant la sécurité en place», explique Stéfano Tiranardi, directeur régional chez Symantec, en entrevue.
Ce dernier soutient qu’un individu a, en moyenne, 45 minutes pour réagir après la perte d’un téléphone intelligent avant que la personne qui a trouvé l’appareil commence à fouiner dans son contenu personnel et professionnel.
Selon les données de Symantec, 56 appareils (93%) ont été consultés par la personne l’ayant trouvé. De plus, les applications et les données personnelles ont été consultées sur 50 appareils (83%), comparativement à 38 appareils (63%) pour les applications et données professionnelles.
«La probabilité est donc très grande qu’un étranger qui trouve un téléphone intelligent perdu et non protégé tente de consulter à la fois de l’information personnelle et des renseignements professionnels sensibles», affirme M. Tiranardi.
Seulement 55% des appareils retournés à leur propriétaire
Par ailleurs, 72% des individus ayant trouvé les téléphones ont tenté de consulter des pages protégées par des identifiants et des mots de passe, 50% ont consulté des photos et seulement 55% ont tenté de retrouver le propriétaire de l’appareil.
Pour bien protéger les appareils mobiles, M. Tiranardi suggère aux entreprises de bien diffuser leur politique de sécurité en cas de perte ou de vol. «Si une organisation a une politique bien connue en place, 45 minutes sont suffisantes pour lancer des protocoles à distance et bien protéger les appareils», dit-il.
Citant une étude de Concumer Reports, M. Tiranardi estime que 64% des téléphones intelligents en Amérique du Nord ne sont pas protégés par un mot de passe.
Parcours type d’un téléphone perdu à Montréal
Parcours type d’un téléphone perdu à Montréal
Selon les données fournies par Symantec, le téléphone de Montréal no 1 (01MT01) a été abandonné le mardi 14 janvier 2014 à 14 h 36 (heure locale), à la station de métro Laurier, située près de l’intersection de la rue Saint-Denis et du boulevard Saint-Joseph Est, à Montréal.
La première activité signalée par l’appareil était un déplacement vers le nord-est débutant aux environs de 15h 45. Puis, à 16h 15, le téléphone a été géolocalisé dans le secteur de Saint-Léonard, à proximité du parc Coubertin, entre les boulevards Viau et Pie-X. Aucune activité n’a été rapportée pendant le reste de la journée.
Le 15 janvier, vers 10 h, l’appareil a été déplacé vers l’avenue Henri-Julien, à quelques coins de rue de l’endroit où il avait été perdu. Puis, à 16 h ce jour-là, il était de retour à l’emplacement du nord-est situé près du parc Coubertin, entre les boulevards Viau et Pie-X. Tout juste après 18 h, l’appareil a été déplacé vers un endroit situé à proximité de la rue Beaubien Est et du boulevard Pie-X. À 20 h ce jour-là, il a été géolocalisé près de la 18e Avenue et de l’avenue Laurier Est, dans le secteur Vieux-Rosemont. Vers minuit, l’appareil a été ramené à l’emplacement du nord-est situé à proximité du parc Coubertin. Aucune autre activité n’a été signalée ce jour-là.
Le 16 janvier, vers 8 h, l’appareil a été branché sur une source d’alimentation, et on y a accédé aux applications «Réseautage social» (à maintes reprises), «Photos privées» (à maintes reprises), «Contacts» et «Services bancaires en ligne». Il est à noter qu’on a cliqué sur le bouton de connexion des «Services bancaires en ligne» pour consulter intentionnellement des renseignements privés. À 9 h 55, on a de nouveau accédé à l’application «Contacts». Le téléphone a été débranché vers 10 h.
Vers 11 h 30, l’appareil a été géolocalisé près de l’intersection du boulevard Viau et de la rue Sherbrooke, à proximité du secteur Notre-Dame-des-Victoires. Vers 15 h, on y a consulté l’application «Contacts». Vers 22 h, il a été déplacé vers un endroit situé à proximité du boulevard Viau et de la rue Bélanger, et aux environs de 23 h, il a encore été ramené au parc Coubertin. Il a été branché sur une source d’alimentation entre ce moment et le matin suivant.
Le 17 janvier, vers 7 h, l’appareil a été débranché et on y a consulté l’application «Réseautage social» (à maintes reprises). Vers midi, on y a consulté les applications «Messagerie Web» (à maintes reprises), «Salaires RH» et «Contacts». Vers 13 h 45, on y a consulté l’application «Dossiers RH», puis l’application «Calendrier» vers 14 h. À environ 16 h 30, il a été déplacé vers le sud-est. Vers 17 h 30, on y a consulté l’application «Administration à distance». Il a poursuivi son déplacement vers le sud-est, passant près de la station Pie-X vers 19 h, puis a abouti sur la rue Saint-André, près de la rue Sainte-Catherine Est, vers 19 h 20. Aux environs de 21 h, on y a consulté l’application «Dossiers RH». Il a été branché de nouveau ce soir-là pour être rechargé.
Aucune autre activité ni aucun déplacement n’ont été signalés pour l’appareil le 18 janvier. Toutefois, il a été débranché de la source d’alimentation vers 10 h ce matin-là.
Le 19 janvier, tout juste après minuit, il a été ramené au parc Coubertin et on y a consulté l’application «Photos privées». Vers 5 h, on y a accédé à l’application «Dossiers RH», alors qu’on a cliqué sur le bouton de connexion pour consulter intentionnellement des renseignements privés. Aucune autre activité n’a été signalée pour cet appareil.